เสี่ยงด้านความมั่นคงปลอดภัยด้าน IT ต่อคณะกรรมการของผู้ประกอบธุรกิจ หรือคณะกรรมการที่เกี่ยวข้องกับการบริหารจัดการและกำกับดูแลการปฏิบัติงานด้าน IT เช่น IT steering committee หรือ IT risk committee เป็นต้น

ใช้วิธีการเก็บหลักฐานสำหรับตรวจสอบการควบคุมแต่ละข้อได้ตามความเหมาะสม โดยคำนึงถึงการสรุปผลการประเมินอย่างสมเหตุสมผล (reasonable assurance) โดยใช้ทรัพยากรด้านการตรวจสอบที่อาจมีอยู่อย่างจำกัดได้อย่างมี